校園與Internet相連，可以使老師和學生得到大量的信息資源，開闊眼界和知識面，所以組建校園網成了促進學校教育現(xiàn)代化的必經之路。作為校園網內部網絡和互聯(lián)網連接樞紐的路由器，在其中發(fā)揮著舉足輕重的作用，因此對于路由器的管理和維護是每個校園網管理員必不可少的主修課。

考慮到中小學校園的通用性，我們主要介紹校園網中常見的路由器Cisco 2612的維護內容，當然本文內容也可以適用于更高性能的Cisco 7600等路由器。Cisco 2612的模塊化體系結構能夠提供適應網絡技術變化所需的通用性，它配置了強大的RISC處理器，能夠支持當今不斷發(fā)展的網絡中所需的高級服務質量(QoS)、安全和網絡集成特性。通過將多個獨立設備的功能集成到一個單元之中，Cisco 2612還降低了管理遠程網絡的復雜性，為Internet、校園內部網訪問、多服務語音／數(shù)據集成、模擬和數(shù)字撥號訪問服務、VPN訪問、ATM訪問集中、VLAN以及路由帶寬管理等應用提供經濟有效的解決方案。

連接前的準備

很多中小學的校園網采用了ADSL或者HDSL的連接方式，首先看Modem的狀態(tài)，如果Modem的DCD不亮，則表示線路連接故障。請先檢查接入線路連接，再檢查路由器的電纜連接，將控制終端連接到路由器上，按回車數(shù)下，出現(xiàn)路由器名稱。

用終端或運行仿真軟件的PC節(jié)接入CONSOLE口。終端或PC配置信息為：9600 baud 8 data bits no parity 2 stop bits （9600，8/N/2），意思是：波特率9600，數(shù)據位8，停止位1，奇偶校驗無。管理員也可以在遠端通過Telnet address進行遠程設置。但如果是對路由器進行第一次配置時，必須采用前一種配置方式。

以太端口故障判斷

我們使用show interface ethernet 0（端口0）命令來判斷以太端口故障，用來檢查一條鏈路的狀態(tài)，此外，當我們懷疑端口有物理性故障時，可用shown version顯示出物理性正常的端口，而出現(xiàn)物理故障的端口將不被顯示出來。

 
串行端口故障判斷

我們可以用show interface serial 0（串行端口0）命令來判斷串行端口故障，檢查鏈路的狀態(tài)。如下所示：

router＃ show int serial 0

此外，當我們懷疑端口有物理性故障時，可用 shown version，將顯示出物理性正常的端口，而出現(xiàn)物理故障的端口將不被顯示出來。

 
路由器安全維護

利用路由器的漏洞發(fā)起攻擊的事件經常發(fā)生。路由器攻擊會浪費CPU周期，誤導信息流量，使網絡異常甚至陷于癱瘓。因此需要采取相應的安全措施來保護路由器的安全。

（１）避免口令泄露危機

據卡內基梅隆大學的CERT/CC（計算機應急反應小組/控制中心）稱，80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。

（２）關閉IP直接廣播

Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網絡廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況會降低網絡性能。使用no ip source-route關閉IP直接廣播地址。

（３）禁用不必要的服務
強調路由器的安全性就不得不禁用一些不必要的本地服務，例如SNMP和DHCP這些用戶很少用到的服務，都可以禁用，只有絕對必要的時候才使用。另外，可能時關閉路由器的HTTP設置，因為HTTP使用的身份識別協(xié)議相當于向整個網絡發(fā)送一個未加密的口令。然而，HTTP協(xié)議中沒有一個用于驗證口令或者一次性口令的有效規(guī)定。

（４）限制邏輯訪問

限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問。SSH是優(yōu)先的邏輯訪問方法，但如果無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

（５）封鎖ICMP ping請求

控制消息協(xié)議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。因此通過取消遠程用戶接收ping請求的應答能力，就能更容易的避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”（script kiddies）。

（６）關閉IP源路由

IP協(xié)議允許一臺主機指定數(shù)據包通過你的網絡路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法應用是診斷連接故障。但是，這種用途很少得到應用，事實上，它最常見的用途是為了偵察目的對網絡進行鏡像，或者用于攻擊者在專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

（７）監(jiān)控配置更改

用戶在對路由器配置進行改動之后，需要對其進行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設備進行遠程配置，用戶最好將SNMP設備配置成只讀。拒絕對這些設備進行寫訪問，用戶就能防止黑客改動或關閉接口。 此外，用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務器。

進一步確保安全管理，用戶可以使用SSH等加密機制，利用SSH與路由器建立加密的遠程會話。為了加強保護，用戶還應該限制SSH會話協(xié)商，只允許會話用于用戶經常使用的幾個可信系統(tǒng)進行通信。

（８）地址過濾

在校園網邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規(guī)定的行為。除了特殊的案例之外，所有試圖從網絡內部訪問互聯(lián)網的IP地址都應該有一個分配的局域網地址。例如，192.168.0.1通過這個路由器訪問互聯(lián)網也許是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，并且是一場攻擊的一部分。相反，來自互聯(lián)網外部的通信的源地址應該不是內部網絡的一部分。因此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后，擁有源地址的、保留的和無法路由目標地址的所有通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類地址段。

在組建校園網的時候，只有選擇合適的路由器，經過正確配置和采用對應的維護策略后，才能使校園網網絡流暢，安全可靠，充分發(fā)揮校園網在學校管理、獲取信息資源等方面的作用。

相關知識：

路由器工作原理

路由器是用來連接不同網段或網絡的，其方法是通過識別不同網絡的網絡ID號進行。路由器要識別另一個網絡，首先要識別對方的網絡ID，看是不是與目的節(jié)點地址中的網絡ID號相一致。如果是就向這個網絡的路由器發(fā)送，接收網絡的路由器在接收到源網絡發(fā)來的報文后，根據報文中所包括的目的節(jié)點IP地址中的主機ID號來識別是發(fā)給哪一個節(jié)點的，然后再直接發(fā)送。